嗨,大家好,小老虎今天為大家帶來了DHCP Snooping的工作原理,小本本準備好,我們要開始啦!
DHCP Snooping顧名思義是跟DHCP有關的,他是DHCP的一種安全特性,用于保證DHCP客戶端從合法DHCP服務器獲取IP地址,并記錄HDCP客戶端IP地址與MAC地址參數的對應關系,防止網絡上針對DHCP攻擊。
DHCP Snooping有以下兩種功能:
1.信任功能:DHCP Snooping信任功能将接口分為信任接口和非信任接口,這樣能夠保證客戶端從合法的服務器獲取IP地址
2.分析功能:開啟DHCP Snooping功能後,設備能夠通過分析DHCP報文交互的過程,生成DHCP Snooping綁定表,綁定表項包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的接口以及該接口所屬的VLAN,租約信息。
DHCP Snooping在哪些場景中能夠應用呢?
1.防止DHCP Server仿冒者攻擊
攻擊原理:
由于DHCP Server和DHCP Client之間沒有認證機制,所以當網絡中随意增加一台DHCP服務器,他就可以冒充真正的服務器給網絡中的其他設備分配IP地址和其他網絡參數。如果該DHCP服務器分配的IP地址是錯誤的,那就會對網絡造成非常大的影響。
解決方法:
如圖所示,為了防止DHCP Server仿冒者攻擊,可以将設備上接口配置為“Trusted”和“Untrusted”工作模式。将與合法的DHCP服務器的連接用“Trusted”接口,其他接口設置為“Untrusted”接口,當從“Untrusted”接口收到DHCP回應報文将直接丢棄,這樣就可以防止DHCP Server仿冒者的攻擊。
2.DHCP報文防洪攻擊
攻擊原理:
網絡中的某台攻擊設備,向服務器發送大量的DHCP Discover報文,導緻服務器處理不過來,最後服務器癱瘓。
解決方法:
在使能設備的DHCP Snooping功能時,可同時使能設備對DHCP報文上送DHCP報文處理單元的速率進行檢測的功能。此後,設備将會檢測DHCP報文的上送速率,并僅允許在規定速率内的報文送至DHCP報文處理單元,而超過規定速率的報文将會被丢棄。
3.DHCP Server服務拒絕攻擊(餓死)
攻擊原理:
如圖所示,假設interface 1接口下存在大量攻擊者惡意申請的IP地址,那麼就會導緻DHCP Server中的IP地址快速耗盡而不能為其他合法用戶提供IP地址分配服務。
解決方法:
為了抑制大量的DHCP用戶惡意申請IP地址,在使能設備的DHCP Snooping功能後,可配置設備接口允許接入的最大DHCP用戶數,當接入的用戶數達到該值時,則不再允許任何用戶通過此設備或接口成功申請到IP地址。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!